Întrebări și răspunsuri: Cum planifică sesiunea să depășească Signal și Telegram

Doar un avertisment, dacă cumpărați ceva prin link-urile noastre, este posibil să primim o mică parte din vânzare. Este una dintre modalitățile prin care ținem luminile aprinse aici. Click aici pentru mai multe.

La începutul acestei săptămâni, am descoperit Session, aplicația de mesagerie căreia nu-i pasă cine ești, la propriu. Fără numere de telefon, servere centrale și dirijare a ceapă, Big Tech nu te-ar recunoaște dacă ar încerca.

Oh, am menționat că au strâns deja peste un milion de utilizatori fără a cheltui un singur cent pe publicitate? Aparent, oamenii își prețuiesc confidențialitatea și își doresc un produs care să își respecte promisiunea. Cine ar fi crezut, nu?

Acum, ducem conversația mai departe. În întrebările și răspunsurile noastre exclusive, ne întâlnim cu cofondatorul Session, Kee Jefferys, pentru a descoperi inspirația din spatele aplicației, tehnologia care o conduce și provocările cu care s-au confruntat.

De la detalii de criptare până la navigarea în reglementările globale, acest interviu acoperă totul.

Mesajele care primesc confidențialitate sunt viitorul? Citiți întrebările și răspunsurile complete pentru a vedea cum conduce Sesiunea și actualizările planificate pentru utilizatorii axați pe confidențialitate.

Începeți să citiți acum

Sesiunea a început ca o dovadă de concept construită pe o rețea descentralizată numită Loki Service Node Network. Pe atunci, era cunoscut sub numele de „Loki Messenger” (mai târziu redenumit Session).

Ideea era simplă: am vrut să le arătăm dezvoltatorilor ce este posibil în rețeaua descentralizată. O aplicație de mesagerie s-a părut exemplul perfect, deoarece dacă le-am putea arăta oamenilor cum să stocheze și să transmită mesaje, aceasta ar putea fi generalizată la alte aplicații și ar putea inspira creativitatea dezvoltatorilor pentru a-și construi propriile proiecte.

Ceea ce nu ne așteptam a fost cât de repede se va prinde comunitatea de Loki Messenger.

Aproape din momentul lansării, oamenii au cerut îmbunătățiri și funcții noi. Ei au văzut ce am văzut noi: Loki Messenger avea ceva special, ceva ce alte aplicații de mesagerie nu ofereau.

Au fost trei lucruri cheie care l-au deosebit:

• Fără numere de telefon : nu ai nevoie de un număr de telefon pentru a te înscrie. Această simplă schimbare a făcut mesajele mai private și mai anonime.
• Fără servere centralizate : rulând pe o rețea descentralizată, nu exista niciun server care să vă colecteze datele sau să creeze un honeypot pentru hackeri.
• Rutarea ceapă încorporată : rutarea ceapă a ascuns adresele IP ale utilizatorilor și a sporit și mai mult confidențialitatea.

Toate acestea au fost împachetate într-o aplicație multiplatformă care a fost ușor de utilizat, făcând confidențialitatea accesibilă oricui.

Încă din primele zile, Session a rămas concentrat pe acele principii și recent Session a depășit 1 milion de utilizatori activi lunar.

Ceea ce a început ca o dovadă de concept s-a transformat într-o platformă de mesagerie care pune în primul rând confidențialitatea, care face cu adevărat diferența și este ceva în care sunt mândru că am fost implicat.

Sesiunea utilizează mai multe straturi de criptare atunci când trimiteți și primiți mesaje. Când un utilizator creează un cont de sesiune, acesta generează o pereche de chei public-privată aleatorie Ed25519.

Cheia publică devine ID-ul contului utilizatorului, care poate fi partajat în afara benzii printr-un cod QR sau un șir de 66 de caractere de numere și litere. Odată ce aveți ID-ul contului cuiva, puteți semna și cripta mesajele pentru acel utilizator.

Pentru a trimite un mesaj valid într-un chat unu-la-unu, expeditorul începe prin a crea mesajul. Mesajul este semnat folosind cheia privată Ed25519 a expeditorului, urmând algoritmul de semnătură Ed25519.

Acest pas asigură autenticitatea mesajului. Cheia publică Ed25519 a expeditorului și semnătura digitală sunt apoi atașate mesajului.

Apoi, expeditorul generează o pereche de chei X25519 efemeră. Această pereche de chei temporare, împreună cu cheia publică X25519 a destinatarului, este utilizată pentru a crea o cheie de criptare simetrică partajată.

Folosind această cheie, mesajul este criptat cu algoritmul XSalsa20-Poly1305, asigurând atât confidențialitatea, cât și integritatea.

Mesajul criptat și metadatele aferente, cum ar fi cheia publică X25519 a destinatarului și cheia publică efemeră X25519 a expeditorului, sunt ambalate într-un plic. Acest plic este apoi criptat din nou pentru livrare securizată folosind protocolul de rutare onion al Session, Onion Requests.

Procesul de rutare ceapă implică criptarea plicului de trei ori - o dată pentru fiecare hop în calea de rețea. Fiecare strat de criptare se bazează pe chei simetrice derivate din cheile Ed25519 ale fiecărui hop și criptate fie cu AES, fie cu XChaCha20-Poly1305.

Plicul triplu-criptat este trimis la primul hop, iar fiecare hop ulterior elimină un strat de criptare, dezvăluind următoarea destinație până când plicul ajunge la roiul destinatarului. Odată ce plicul ajunge la roiul destinatarului, destinatarul îl preia și îl decriptează pentru a prelua mesajul.

Protocolul de criptare al sesiunii oferă criptare end-to-end și un nivel ridicat de confidențialitate a metadatelor pentru fiecare mesaj trimis.

În ciuda tehnologiei sofisticate din culise, utilizatorii nu trebuie să-și facă griji cu privire la complexitate. Pot pur și simplu să trimită și să primească mesaje așa cum ar face-o cu orice altă aplicație, toate în timp ce beneficiază de nivelul ridicat de confidențialitate și securitate al Session.

Sesiunea este complet open-source. Aceasta include toate aplicațiile client, inclusiv Session iOS, Android și Desktop, precum și tot software-ul care alimentează rețeaua descentralizată de noduri care stochează și direcționează mesajele.

Codul sursă este disponibil public pe GitHub la https://github.com/session-foundation

Pentru a implementa o ușă secundară în aplicație, dezvoltatorii rău intenționați ar trebui să împingă modificări de cod în aceste depozite și să creeze o nouă ediție. Astfel de modificări nu ar trece neobservate de comunitatea Session sau de contribuitorii săi.

Dacă acest lucru s-ar întâmpla, depozitele ar putea fi ușor îndepărtate de dezvoltatorul rău intenționat, iar aplicația ar putea fi redistribuită fără codul dăunător.

Session a fost, de asemenea, supusă unor audituri independente de la terți pentru a-și asigura securitatea și integritatea. Un astfel de audit a fost efectuat de Quarkslab, cu constatările lor făcute publice. Puteți consulta raportul lor aici:

Această deschidere și transparență îngreunează ca o ușă din spate sau o vulnerabilitate să o transforme într-o lansare.

Modelul pe termen lung pentru dezvoltarea durabilă a Sessionului implică monetizarea printr-o versiune premium a Session, numită Session Pro.

Session Pro va fi un serviciu de abonament conceput pentru utilizatorii puternici, oferind funcții suplimentare într-un mod similar cu modul în care Telegram Premium îmbunătățește experiența utilizatorilor Telegram.

Toate abonamentele la abonamentele Session Pro revin în ecosistemul Session. Aceste plăți vor ajuta la susținerea și creșterea rețelei Session Node, asigurând scalabilitatea și fiabilitatea acesteia, pe măsură ce baza de utilizatori a Session continuă să se extindă.

Important, Session va menține întotdeauna o versiune gratuită care asigură același nivel ridicat de confidențialitate pentru toți utilizatorii. Acest angajament față de mesageria cu prioritate la confidențialitate rămâne esențial pentru misiunea Session.

Toată creșterea Session de până acum a fost în întregime organică, determinată în mare parte de recomandările experților influenți în confidențialitate. Cred că această creștere se va accelera pe măsură ce Session continuă să se poziționeze ca o alternativă mai sigură la WhatsApp, Telegram și Signal. Echipele

lucrând la Session au conexiuni profunde în spațiul ONG-urilor și printre liderii de gândire privind confidențialitatea, care vor continua să susțină Session pe măsură ce aplicația crește și își îmbunătățește caracteristicile de bază.

Mai este de făcut din punct de vedere tehnic pentru a îmbunătăți păstrarea utilizatorilor.

În următoarele 6-12 luni, accentul se va pune pe domenii cheie, cum ar fi îmbunătățirea funcționalității grupului, creșterea vitezei și fiabilității și asigurarea integrării cât mai fluide posibil. Aceasta include asigurarea faptului că utilizatorii se pot conecta cu ușurință cu prietenii și familia și pot invita persoane noi să se alăture aplicației.

Abordând aceste provocări tehnice, menținând în același timp o susținere puternică în spațiul confidențialității, Session este bine poziționată pentru a-și continua traiectoria ascendentă ca platformă de mesagerie de top axată pe confidențialitate.

Peisajul de reglementare în jurul mesajelor private este încă în curs de dezvoltare, iar diferite țări adoptă abordări diferite pentru a reglementa criptarea end-to-end și confidențialitatea datelor.

Session a anunțat recent că administrarea proiectului se va muta în afara Australiei, de la administratorul inițial al proiectului (OPTF) la Session Technology Foundation, o fundație din Elveția dedicată promovării inovației digitale și a drepturilor digitale.

Această mișcare a fost în mare parte ca răspuns la legislația recentă și la presiunea autorităților de reglementare australiene, care au făcut ca Session să funcționeze din ce în ce mai greu din Australia, păstrând în același timp garanțiile de confidențialitate și securitate pe care le oferă utilizatorilor săi.

Spre deosebire de Australia, Elveția are protecții constituționale puternice care păstrează confidențialitatea și o lungă istorie de susținere a aplicațiilor pro-confidențialitate precum ProtonMail, Threema și Nym.

Prin design, companiile și persoanele implicate în dezvoltarea Session nu au acces privilegiat la datele utilizatorilor.

Mesajele criptate end-to-end sunt stocate și direcționate printr-o rețea de peste 2.100 de noduri operate de comunitate. Această abordare este fundamental diferită de alte platforme de mesagerie.

Din punct de vedere istoric, acest design a însemnat că, atunci când sunt primite cereri de date, nu există informații disponibile pentru a le partaja părții solicitante. OPTF, administratorul anterior al proiectului Session, a publicat periodic rapoarte de transparență pentru a susține acest fapt, care pot fi vizualizate aici.

Pe măsură ce Session Technology Foundation preia conducerea, va continua această tradiție, cu rapoarte de transparență publicate aici: https://session.foundation/transparency-reports

Niciuna dintre companiile sau persoanele implicate în dezvoltarea Session nu a primit solicitări de implementare a ușilor din spate în aplicație.

Transferul managementului către Session Technology Foundation din Elveția este un pas proactiv pentru a se asigura că Session poate continua să protejeze confidențialitatea și securitatea utilizatorilor săi.

Foaia de parcurs actuală a sesiunii se concentrează pe revizuirea caracteristicilor cheie pentru a îmbunătăți fiabilitatea și gradul de utilizare în aplicație. Iată principalele domenii de interes:

Grupuri : De la lansarea lor în 2022, grupurile s-au confruntat cu mai multe provocări.

Utilizatorii au raportat că pierd ocazional accesul la grupuri atunci când cheile de criptare subiacente sunt rotite, ceea ce are loc atunci când membrii sunt eliminați dintr-un grup.

În plus, mesajele se pot pierde atunci când utilizatorii se alătură unui grup sau rămân offline mai mult de 14 zile. Pentru a rezolva aceste probleme, arhitectura grupurilor este complet reproiectată pentru a le face mai persistente în rețeaua de noduri și pentru a îmbunătăți fiabilitatea în timpul rotațiilor cheilor de criptare.

Ca parte a acestei revizuiri, sunt implementate și mai multe îmbunătățiri de utilizare, inclusiv suport pentru mai mulți administratori în grupuri, un nou sistem de invitare de grup și suport îmbunătățit pentru notificări push.

Aceste modificări urmăresc să facă grupurile mai fiabile și mai ușor de utilizat.

Integrare : utilizatorii non-tehnici s-au luptat uneori cu procesul de integrare a Session.

Din punct de vedere istoric, Session a introdus concepte complexe de gestionare a cheilor private, cum ar fi frazele mnemonice, la începutul experienței de integrare. Această complexitate a dus adesea la frustrare și abandon în timpul înscrierii.

O actualizare recentă a simplificat procesul de integrare prin amânarea acestor concepte avansate până după crearea contului. Această modificare a îmbunătățit reținerea în timpul integrării.

Cu toate acestea, mai este loc de îmbunătățire.

Planurile viitoare vor implica probabil integrarea cheilor de acces pentru a reduce și mai mult barierele de intrare și pentru a simplifica procesul de invitare a noilor utilizatori prin folosirea legăturilor profunde.

Rutarea ceapă : La scurt timp după lansarea sesiunii, cererile Onion au fost introduse ca o implementare simplificată a protocolului de rutare a ceapă.

Deși sunt eficiente pentru nevoile de bază, cererile Onion sunt protocoale bazate pe HTTP care nu sunt transmise în flux și sunt în mod inerent mai lente și mai puțin capabile decât protocoalele mai avansate.

Trimiterea mesajelor durează de obicei 1-3 secunde, în timp ce încărcările și descărcările fișierelor pot dura mult mai mult. În plus, Onion Requests impun o limită de 10 MB pentru fișiere, limitând funcționalitatea Session pentru transferuri de fișiere mai mari.

Pentru a depăși aceste limitări, echipa Session a dezvoltat Lokinet, un protocol mai avansat de rutare a ceapă. Lokinet acceptă conexiuni bazate pe flux și este construit pe UDP, permițând performanțe mai rapide și mai flexibile.

Lokinet este în prezent în curs de refactor complet și se apropie de maturitate. Testele interne arată că Lokinet este de 3-10 ori mai rapid decât Onion Requests, ceea ce înseamnă că timpul de livrare a mesajelor și transferul fișierelor ar putea fi îmbunătățit drastic odată implementat. Mai mult, Lokinet nu impune aceleași limitări de dimensiune a fișierelor, deschizând calea pentru încărcări de fișiere mult mai mari pe Session.

Un mare mulțumire co-fondatorului Session, Kee Jefferys și restului echipei, pentru că și-au acordat timpul pentru a trage cortina în spate cu privire la ceea ce face ca aplicația lor să funcționeze și de ce confidențialitatea contează mai mult ca niciodată.

Dacă sunteți gata să vă ridicați jocul de mesagerie (sau zece), puteți descărca gratuit Session din App Store sau Google Play și este disponibil și pentru PC, Mac și Linux. Verifică-l și vezi cum se simte adevărata confidențialitate.

Ce părere aveți despre potențialele actualizări și dezvoltări menționate de co-fondatorul Session? Împărtășește-ți cunoștințele în comentariile de mai jos .